Neste documento, explicamos como agrupar descobertas em casos no nível Enterprise do Security Command Center.
Visão geral
O mecanismo de agrupamento de descobertas agrupa automaticamente as descobertas ingeridas em casos. Por padrão, esse mecanismo de agrupamento garante que todas as descobertas em um caso pertençam ao mesmo:
- Proprietário do recurso
- Projeto do Google Cloud
- Conta da AWS
- Tipo de recurso
- Categoria
- Nível de gravidade
Definir as configurações de agrupamento
Para definir as configurações de agrupamento padrão aplicáveis a todas as descobertas ingeridas, siga estas etapas:
No console do Security Operations, acesse Configurações > Ingestão > Conectores.
Selecione SCC Enterprise - Conector de descobertas de postura urgente.
Para personalizar o mecanismo de agrupamento e desativar opções específicas de agrupamento, desmarque as caixas de seleção de um ou mais dos parâmetros a seguir:
Group by AWS AccountGroup by GCP ProjectGroup by SeverityGroup by Asset Type
Por padrão, as configurações de agrupamento a seguir se aplicam às descobertas ingeridas:
Agrupar por conta da AWS: as descobertas são agrupadas de acordo com as contas da AWS a que pertencem.
Agrupar por projeto do GCP: as descobertas são agrupadas de acordo com os projetos do Google Cloud a que pertencem.
Agrupar por gravidade: as descobertas são agrupadas de acordo com o nível
severity, comoHIGHouMEDIUM.Agrupar por tipo de recurso: as descobertas são agrupadas de acordo com o tipo de recurso (tipo de recurso do Google Cloud), como instância do Compute Engine ou conta de serviço do IAM.
Todas as descobertas agrupadas em um caso pertencem ao mesmo proprietário. Para garantir que as descobertas sejam agrupadas corretamente, incluindo aquelas sem tags herdadas do Google Cloud ou contatos essenciais, sempre configure o parâmetro Fallback Owner do conector.
Exemplo: como o mecanismo de agrupamento funciona
Neste exemplo, apenas as descobertas do Google Cloud são usadas.
O conector ingere quatro descobertas com diferentes gravidades e valores herdados dos respectivos recursos do Google Cloud:
Descoberta 1: Gravidade: Critical, Tipo de recurso: Compute, Projeto: Project_1
Descoberta 2: Gravidade: Critical, Tipo de recurso: IAM, Projeto: Project_2
Descoberta 3: Gravidade: High, Tipo de recurso: Compute, Projeto: Project_1
Descoberta 4: Gravidade: High, Tipo de recurso: Compute, Projeto: Project_2
Mecanismo de agrupamento padrão
As configurações padrão significam que as descobertas são agrupadas de acordo com os respectivos projetos, tipos de recursos e propriedade de gravidade.
Neste exemplo, cada descoberta está incluída em um caso diferente.
Caso 1:
- Descoberta 1: gravidade:
Critical, tipo do recurso:Compute, projeto:Project_1
- Descoberta 1: gravidade:
Caso 2:
- Descoberta 2: gravidade:
Critical, tipo do recurso:IAM, projeto:Project_2
- Descoberta 2: gravidade:
Caso 3:
- Descoberta 3: gravidade:
High, tipo do recurso:Compute, projeto:Project_1
- Descoberta 3: gravidade:
Caso 4:
- Descoberta 4: Gravidade:
High, Tipo de recurso:Compute, Projeto:Project_2
- Descoberta 4: Gravidade:
Mecanismo de agrupamento personalizado
Selecionar apenas a caixa de seleção Agrupar por projeto do GCP agrupa automaticamente as descobertas de acordo com os projetos do Google Cloud para que um caso contenha apenas descobertas que pertençam ao mesmo projeto:
Caso 1:
- Descoberta 1: gravidade
Critical, tipo de recurso:Compute, projeto:Project_1 - Descoberta 3: gravidade
High, tipo de recurso:Compute, projeto:Project_1
- Descoberta 1: gravidade
Caso 2:
- Descoberta 2: gravidade
Critical, tipo de recurso:IAM, projeto:Project_2 - Descoberta 4: gravidade
High, tipo de recurso:Compute, projeto:Project_2
- Descoberta 2: gravidade
Marcar apenas a caixa de seleção Agrupar por gravidade agrupa automaticamente as descobertas de acordo com a gravidade, para que um caso contenha apenas descobertas com o mesmo nível de gravidade:
Caso 1:
- Descoberta 1: Gravidade:
Critical, Tipo de recurso:Compute, Projeto:Project_1 - Descoberta 2: Gravidade:
Critical, Tipo de recurso:IAM, Projeto:Project_2
- Descoberta 1: Gravidade:
Caso 2:
- Descoberta 3: Gravidade:
High, Tipo de recurso:Compute, Projeto:Project_1 - Descoberta 4: Gravidade:
High, Tipo de recurso:Compute, Projeto:Project_2
- Descoberta 3: Gravidade:
Selecionar apenas a caixa de seleção Group by Asset Type agrupa automaticamente as descobertas de acordo com os tipos de recurso (tipos de recursos no Google Cloud) para que um caso contenha apenas descobertas que pertençam ao mesmo recurso:
Caso 1:
- Descoberta 1: Gravidade:
Critical, Tipo de recurso:Compute, Projeto:Project_1 - Descoberta 3: gravidade:
High, tipo de recurso:Compute, projeto:Project_1 - Descoberta 4: Gravidade:
High, Tipo de recurso:Compute, Projeto:Project_2
- Descoberta 1: Gravidade:
Caso 2:
- Descoberta 2: Gravidade:
Critical, Tipo de recurso:IAM, Projeto:Project_2
- Descoberta 2: Gravidade:
Selecionar as caixas de seleção Agrupar por projeto do GCP e Agrupar por gravidade agrupa automaticamente as descobertas de acordo com os respectivos projetos e níveis de gravidade, para que um caso contenha apenas descobertas que pertençam ao mesmo projeto e que tenham a mesma gravidade. Neste exemplo, o conector cria quatro casos:
Caso 1:
- Descoberta 1: Gravidade:
Critical, Tipo de recurso:Compute, Projeto:Project_1
- Descoberta 1: Gravidade:
Caso 2:
- Descoberta 2: gravidade:
Critical, tipo de recurso:IAM, projeto:Project_2
- Descoberta 2: gravidade:
Caso 3:
- Descoberta 3: gravidade:
High, tipo de recurso:Compute, projeto:Project_1
- Descoberta 3: gravidade:
Caso 4:
- Descoberta 4: gravidade:
High, tipo de recurso:Compute, projeto:Project_2
- Descoberta 4: gravidade:
A seguir
- Saiba mais sobre alertas na documentação do Google SecOps.